項目十二安全策略與數據流量過濾.ppt

《項目十二安全策略與數據流量過濾.ppt》由會員分享，可在線閱讀，更多相關《項目十二安全策略與數據流量過濾.ppt（42頁珍藏版）》請在裝配圖網上搜索。

項目十二安全策略與數據流量過濾 1 教學目標 掌握網絡安全策略布置原則 掌握IP標準及擴展訪問控制列表配置技能 能夠根據實際需求準確配置IP訪問控制列表 具體如下 1 了解IP標準及擴展訪問控制列表的功能及用途 2 掌握IP標準訪問控制列表配置技能 3 掌握IP擴展訪問控制列表配置技能 2 工作任務 根據客戶工作任務的具體要求 配置IP標準或擴展訪問控制列表 實現網絡數據流量控制 模塊1IP標準訪問控制列表的建立及應用 教學目標 了解IP標準訪問控制列表的功能及用途 掌握路由器IP標準訪問控制列表配置技能 掌握交換機IP標準訪問控制列表配置技能 2 工作任務你是學校網絡管理員 學校的財務處 教師辦公室和校辦企業(yè)財務科分屬不同的3個網段 三個部門之間通過路由器進行信息傳遞 為了安全起見 學校領導要求你對網絡的數據流量進行控制 實現校辦企業(yè)財務科的主機可以訪問財務處的主機 但是教師辦公室主機不能訪問財務處主機 3 相關實踐知識 首先對兩路由器進行基本配置 實現三個網段可以相互訪問 然后對距離控制目的地址較近的路由器RouterB配置IP標準訪問控制列表 允許192 168 1 0網段 校辦企業(yè)財務科 主機發(fā)出的數據包通過 不允許192 168 2 0網段 教師辦公室 主機發(fā)出的數據包通過 最后將這一策略加到路由器RouterB的Fa0端口 如圖12 1所示 圖12 1路由器IP標準訪問控制列表 第1步 基本配置路由器RouterA R enableR configureterminalR config hostnameRouterARouterA config linevty04RouterA config line loginRouterA config line password100RouterA config line exitRouterA config enablepassword100RouterA config interfacefastethernet0RouterA config if ipaddress192 168 1 1255 255 255 0RouterA config if noshutdownRouterA config if Exit RouterA config interfacefastethernet1RouterA config if ipaddress192 168 12 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config interfacefastethernet2RouterA config if ipaddress192 168 2 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config iproute192 168 3 0255 255 255 0192 166 12 2路由器RouterB同理配置 第2步 在路由器RouterB上配置IP標準訪問控制列表RouterB config access list1deny192 168 2 00 0 0 255RouterB config access list1permit192 168 1 00 0 0 255驗證測試RouterB showaccess list1第3步 應用在路由器RouterB的Fa0接口輸出方向上RouterB config interfacefastethernet0RouterB config if ipaccess group1out驗證測試RouterB showipinterfacefastethernet0 4 相關理論知識 ACL概述訪問控制列表 ACL 是在交換機或路由器上定義一些規(guī)則 對經過網絡設備的數據包根據一定規(guī)則進行過濾 ACL分類 1 編號訪問控制列表 在路由器配置的訪問控制列表是由編號來命名的 包括IP標準訪問控制列表和IP擴展訪問控制列表 2 命名訪問控制列表 在三層交換機配置的訪問控制列表是由字符串名字來命令的 包括IP標準訪問控制列表和IP擴展訪問控制列表 編號標準訪問控制列表 1 標準訪問控制列表在路由器上建立的訪問控制列表 其編號取值范圍為1 99之間整數值 只根據源IP地址過濾流量 在標準或擴展訪問列表的末尾 總有一個隱含的Denyall 這意味著如果數據包源地址與任何允許語句不匹配 則隱含的Denyall將會禁止該數據包通過 2 定義訪問控制列表R config access listaccess listnumber permit deny source sourcemask 其中 access listnumber 訪問列表序號 范圍是1 99 Permit deny 允許 禁止?jié)M足條件的數據包通過 Source 過濾數據包的源IP地址 Sourcemask 通配屏蔽碼 1 不檢查位 0 必須匹配位 例12 3 定義訪問控制列表1拒絕特定主機192 168 10 1的流量 但允許其它的所有主機 R config access list1denyhost192 168 10 1R config access list1permitany 3 應用訪問控制列表訪問控制列表需要應用到路由器的一個接口上 應用到一個接口上可選擇入棧 IN 或出棧 OUT 二個方向 例12 5 將訪問控制列表1應用到路由器的接口fastethernet0的入棧方向上 R configureterminalR config interfacefastethernet0R config if ipaccess group1inR config if end 命名標準訪問控制列表在三層交換機上配置命名標準訪問控制列表 也是采用定義ACL 在接口上應用ACL 查看ACL等步驟進行 第1步 進入Access list配置模式 用名字來定義一條標準訪問控制列表 Switch config ipaccess liststandard name Switch config std nacl 第2步 定義訪問控制列表條件Switch config std nacl deny sourcesource wildcard hostsource any 或permit sourcesource wildcard hostsource any Switch config std nacl exitSwitch config 其中 permit允許通過 deny禁止通過 Source是要被過濾數據包的源IP地址 source wildcard是通配屏蔽碼 指出該域中哪些位進行匹配 1表示允許這些位不同 0表示這些位必須匹配 Hostsource代表一臺源主機 其source wildcard為0 0 0 0 any代表任意主機 即source為0 0 0 0 source wildcard為255 255 255 255 第3步 應用訪問控制列表Switch config interfacevlann其中 n是指Vlann 以實現進入SVI模式Switch config if ipaccess group name in out 其中 name為訪問控制列表名稱 in或out為控制接口流量方向 Switch config if 例12 7 在交換機上配置訪問控制列表 實現只禁止192 168 2 0網段上主機發(fā)出的數據 而允許其它任意主機 Switch configureterminalSwitch config Switch config ipaccess liststandarddeny 2 0Switch config std nacl deny192 168 2 00 0 0 255Switch config std nacl permitanySwitch config std nacl exitSwitch config interfacevlan2Switch config if ipaccess groupdeny 2 0inSwitch config if endSwitch showaccess lists 模塊2IP擴展訪問控制列表的建立及應用 教學目標 了解IP擴展訪問控制列表功能及用途 掌握路由器IP擴展訪問控制列表配置技能 掌握交換機IP擴展訪問控制列表配置技能 2 工作任務你是學校網絡管理員 學校的網管中心分別架設FTP Web服務器 其中FTP服務器供教師專用 學生不可使用 Web服務器教師和學生都可訪問 FTP及Web服務器 教師辦公室和學生宿舍分屬不同的3個網段 三個網段之間通過路由器進行信息傳遞 要求你對路由器進行適當設置實現網絡的數據流量控制 3 相關實踐知識 首先對兩路由器進行基本配置 實現三個網段相互訪問 然后對離控制源地址較近的路由器RouterA配置IP擴展訪問控制列表 不允許192 168 1 0網段 學生宿舍 主機發(fā)出的去192 168 3 0網段的FTP數據包通過 允許192 168 1 0網段主機發(fā)出的其它服務數據包通過 最后將這一策略加到路由器RouterA的Fa0端口 如圖12 4所示 圖12 4路由器IP擴展訪問控制列表 第1步 基本配置路由器RouterA R enableR configureterminalR config hostnameRouterARouterA config linevty04RouterA config line loginRouterA config line password100RouterA config line exitRouterA config enablepassword100RouterA config interfacefastethernet0RouterA config if ipaddress192 168 1 1255 255 255 0RouterA config if noshutdownRouterA config if Exit RouterA config interfacefastethernet1RouterA config if ipaddress192 168 12 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config interfacefastethernet2RouterA config if ipaddress192 168 2 1255 255 255 0RouterA config if noshutdownRouterA config if ExitRouterA config iproute192 168 3 0255 255 255 0192 166 12 2路由器RouterB同理配置 第2步 在路由器RouterA上配置IP擴展訪問控制列表拒絕來自192 168 1 0網段去192 168 3 0網段的FTP流量通過RouterA config access list101denyTCP192 168 1 00 0 0 255192 168 3 00 0 0 255eqFTP允許其它服務的流量通過RouterA config access list101permitIPanyany驗證測試RouterA showaccess list101第3步 把訪問控制列表應用在路由器RouterA的Fa0接口輸入方向上 RouterA config interfacefastethernet0RouterA config if ipaccess group101in 4 相關理論知識 編號擴展訪問控制列表擴展編號訪問控制列表同標準編號訪問控制列表一樣也是在路由器上創(chuàng)建的 其編號范圍為100到199之間 擴展IP訪問控制列表可以基于數據包源IP地址 目的IP地址 協(xié)議及端口號等信息來過濾流量 配置編號擴展訪問控制列表R config access listlistnumber permit deny protocolsourcesource wildcard maskdestinationdestination wildcard mask operatoroperand 其中 Listnumber 規(guī)則序號 范圍為100 199 Permit deny 允許 或禁止?jié)M足該規(guī)則的數據包通過 protocol 0 255之間協(xié)議號 也可用協(xié)議名 如IP TCP和UDP operatoroperand 用于指定端口范圍 缺省為全部端口號0 65535 只有TCP和UDP協(xié)議需要指定端口范圍 例12 8 在路由器R上配置訪問控制列表 實現只允許從129 8 0 0網段的主機向202 39 160 0網段的主機發(fā)送WWW報文 禁止其它報文通過 R config Access list100permittcp129 8 0 00 0 255 255202 39 160 00 0 0 255eqwwwR config interfacefastethernet0R config if ipaccess group100inR showaccess lists 命名擴展訪問控制列表第1步 用名字來定義一個命名擴展訪問控制表 并進入擴展訪問控制列表配置模式Switch config ipaccess listextended name witch config ext nacl 第2步 定義訪問控制列表條件Switch config ext nacl deny permit protocol sourcesource wildcard hostsource any operatorport destinationdestination wildcard hostdestination any operatorport Switch config ext nacl exitSwitch config 其中 Deny 禁止通過 Permit 允許通過 Protocol 協(xié)議類型 TCP tcp UDP udp IP ip Source 源IP地址 source wildcard 源IP地址通配符 Hostsource 源主機 其source wildcard為0 0 0 0 hostdestination 目標主機 其destination wildcard為0 0 0 0 Any 任意主機 即source或destination為0 0 0 0 source wildcard或destination wildcard為255 255 255 255 Operator 操作符 只能為eq Port TCP或UDP的端口號 范圍為0 65535 例12 9 在交換機上配置訪問控制列表 實現只允許192 168 2 0網段上主機訪問IP地址為172 16 1 100的Web服務器 而禁止其它任意主機使用 Switch config ipaccess listextendedallow 2 0Switch config ext nacl permittcp192 168 2 00 0 0 255host172 16 1 100eqwwwSwitch config ext nacl exitSwitch config interfacevlan2Switch config if ipaccess groupallow 2 0inSwitch config if end 模塊3基于時間的訪問列表建立與應用 教學目標 了解基于時間訪問控制列表的功能及用途 掌握路由器基本時間訪問控制列表配置技能 2 工作任務你是某公司的網管 為了保證公司上班時間的工作效率 公司要求上班時間只可以訪問公司的內部網站 下班后員工可以隨意放松 訪問網絡不受限制 3 相關實踐知識 在路由器上進行基本配置 然后設置基于時間的訪問控制列表 把這個訪問控制列表應用于路由器的Fa0接口 如圖12 5所示 圖12 5基于時間的訪問控制列表 第1步 基本配置路由器RouterA R enableR configureterminalR config hostnameRouterARouterA config linevty04RouterA config line loginRouterA config line password100RouterA config line exitRouterA config enablepassword100RouterA config interfacefastethernet0RouterA config if ipaddress192 168 1 1255 255 255 0RouterA config if noshutdown RouterA config if ExitRouterA config interfacefastethernet1RouterA config if ipaddress192 168 2 1255 255 255 0RouterA config if noshutdownRouterA config if Exit第2步 配置路由器的時鐘RouterA showclockClock 1987 1 165 19 9重新設置路由器當前時鐘和實際時鐘同步RouterA config clockset16 03 4027april2006 4 27RouterA showclockClock 2006 4 2716 04 9 第3步 定義時間段RouterA config time rangefreetime定義絕對時間段RouterA config time range absolutestart8 001jan2006end18 0030dec2010定義周期性時間段RouterA config time range periodicdaily0 00to9 00RouterA config time range periodicdaily17 00to23 59RouterA showtime rangeTime rangeentry freetime inactive Absolutestart8 0001january2006end18 0030december2010Periodicdaily0 00to9 00Periodicdaily17 00to23 59 第4步 定義訪問控制列表任務時間允許訪問服務器192 168 2 10RouterA config access list102permitipanyhost192 168 2 10允許在規(guī)定時間段內訪問任何網絡RouterA config access list102permitipanyanytime rangefreetime查看訪問控制列表配置RouterA showaccess lists第5步 訪問控制列表應用在路由器RouterAFa0接口輸入方向上RouterA config interfacefastethernet0RouterA config if ipaccess group102in查看Fa0接口上應用的規(guī)則RouterA showipinterfacefastethernet0 4 相關理論知識 基于時間的訪問列表基于時間的ACL功能使管理員可以依據時間來控制用戶對網絡資源的訪問 即可以根據時間來禁止 允許用戶訪問網絡資源 創(chuàng)建并定義Time range接口Router config time rangetime range nameRouter config time range absolute starttimedate endtimedate and orperiodicdays of the weekhh mmto days of the week hh mm其中 time range name為定義的接口名 關聯(lián)Time range接口與ACL只允許擴展訪問控制列表ACL關聯(lián)Time range接口 創(chuàng)建并定義Time range接口Router config access listnumber deny permit protocolsourcesrc wildcarddestinationdesti wildcard time rangetime range name 項目結束